[发明专利]一种面向Android取证的内存镜像数据恢复系统

权利要求书

1.一种面向Android取证的内存镜像数据恢复系统，其特征在于，所述系统包括：有效内存页提取模块和数据记录恢复模块；

所述有效内存页提取模块，用于提取内存镜像中有价值的证据数据所在的内存页并发送到所述数据记录恢复模块；

所述数据记录恢复模块，用于根据接收到的有效内存页对内存页数据区域存储的数据记录进行恢复。

2.根据权利要求1所述的面向Android取证的内存镜像数据恢复系统，其特征在于，所述有价值的证据数据为SQLite数据，所述证据数据以单元的形式存储于所述有效内存页中。

3.根据权利要求1所述的面向Android取证的内存镜像数据恢复系统，其特征在于，所述内存镜像为整个Android设备的非易失性内存镜像。

4.根据权利要求2所述的面向Android取证的内存镜像数据恢复系统，其特征在于，所述有效内存页包括B+树内部页，B+树叶子页，B-树内部页和B-树叶子页。

5.根据权利要求1所述的面向Android取证的内存镜像数据恢复系统，其特征在于，所述有效内存页提取模块提取内存镜像中有价值的证据数据所在的内存页，具体过程包括：

按页大小扫描非易失性内存镜像，获得页头结构，所述页头包括页类型、第一个自由块偏移量、本页单元数、单元起始地址，页头之后是单元指针数组，其中每2个字节表示1个单元偏移地址；若页类型为0x0d则可能是B+树叶子页，若页类型为0x05则可能是B+树内部页，若页类型为0x0a则可能是B-树叶子页，若页类型为0x02则可能是B-树内部页；

对第一个自由块偏移量、本页单元数、单元起始地址和单元指针数组的特征进行判断，若均满足条件则判定该页为有效内存页，提取其物理地址；其中，所述条件包括：第一个自由块偏移量小于内存页的大小，单元起始地址小于内存页的大小，单元指针数组每一项小于内存页的大小，同时单元指针数组大小等于本页单元数。

6.根据权利要求1所述的面向Android取证的内存镜像数据恢复系统，其特征在于，所述数据记录恢复模块包括区域提取单元、恢复表结构和记录恢复；

所述区域提取单元，用于提取存储数据的区域，基于异地更新机制，所述存储数据的区域在B+树叶子页中包括单元内容区、空闲区域和自由块区域，而其他类型的内存页中只包括空闲区域；

所述恢复表结构，用于通过关键字匹配从提取的存储数据的区域中提取建表语句，获得所有数据表的表名和对应的字段类型和数量；

所述记录恢复，用于从提取的存储数据的区域中根据不同的区域结构进行数据恢复与归类。

7.根据权利要求6所述的面向Android取证的内存镜像数据恢复系统，其特征在于，所述单元内容区为各个单元组成的区域，所述空闲区域为单元指针数组和单元内容区之间的区域，由部分已删除数据的地址偏移、0值和已删除数据组成，所述自由块区域为单元内容区中已删除的单元所构成的区域。

8.根据权利要求6所述的面向Android取证的内存镜像数据恢复系统，其特征在于，所述用于从提取的存储数据的区域中根据不同的区域结构进行数据恢复与归类，具体包括：

若提取的存储数据的区域属于B+树叶子页，解析获得单元内容区的字段类型和数量，并匹配所有建表语句，判断属于哪一个数据表，基于空间局部性，同一页中自由块区域和空闲区域中的数据结构与单元内容区一致，由此恢复自由块和空闲区域中的已删除数据，并写入对应数据表中；

若提取的存储数据的区域属于其他类型的内存页，提取空闲区域起始处的部分已删除数据的地址偏移，解析获得对应地址处数据的字段类型和数量并匹配所有建表语句，判断属于哪一个数据表，基于空间局部性恢复剩余的数据记录并写入对应数据表中。